English
 电子信箱
 加入收藏

  威盾防火墙 >> 新闻中心 >> 业界动态 >> Windows 2000系统加固应用指南
 

Windows 2000系统加固应用指南

威盾防火墙 2015-02-26
 
2000系统安全一直以来是网管们头疼的问题,虽然现在已经出了win2003,但是还有很多人使用2000系统,其实只要你正确的设置系统再加上安全软件基本上就可以保证安全性大大提高,但是没有绝对安全的设置,每个系统都有漏洞,攻与防永远是对立的。下面介绍基本上全部是2000的自身设置,没有用任何的安全软件。有关2000系统的安全加固过程简单的描述如下:
1. 安装一个最小化的操作系统和一个最新的服务包;
2. 安装你要在主机上运行的应用程序并配置;
3. 重新申请服务包,安装最新的安全补丁;
4. 删除或禁用操作系统中不必要的服务和组件;
5. 加固操作系统的其他部分;
6. 为文件和其他对象设置严格的访问控制权限。
下面详细解释执行的步骤:
1. 安装最小化的操作系统注意事项:从一个干净的系统开始,不要在主机上安装多系统启动,防止经由其他系统启动控制造成的破坏。只使用NTFS分区作为文件系统分区,因为他提供了日志检查信息。此外必须使用NTFS才能对文件使用DACL,达到访问控制安全的目的;只安装TCP/IP协议,不安装其他的任何协议,在选择安装程序时不要安装任何额外的程序和服务;如果安装了服务器版本的win2000,要把他配置成standalone(独立服务器)模式。
2. 安装和配置应用程序及服务程序:不要安装任何的多余的程序,小心安装采用服务和应用程序,尽量选择最新的安装和服务版本。在你的系统上安装配置正常使用的应用程序,在你的系统上安装配置你选择好的用来提供网络服务的程序。了解你要安装的程序是否存在安全缺陷;在高安全性要求的应用环境中,不要安装MS-ofiice或任何开发工具。可用执行程序越少越好。
3. 重新申请服务包,安装最新的安全补丁:微软提供了windows update程序可以直接连接到微软的下载站点获得更新的hotfix,即大的服务包发布之后发布的安全补丁程序,通常用来弥补近期发现的安全漏洞。
4. 配置操作系统提供的服务:禁止操作系统提供的一切不必要的服务,对于有其他要求的系统服务可视情况开启,但原则上应尽量避免使用微软提供的系统服务。
可设置为自动启动的服务:
event log事件日志记录
logical disk manager(LDM)磁盘管理需要
network connections网络管理需要
plug and play硬件设备即插即用需要
protected storage保护性存储需要
remote procedure call (RPC)系统进程间调用需要
security accounts manger (SAM)帐户管理数据需要
windows management instrumentation (WMI)管理控制需要
WMI driver extensions管理控制需要
可设置为手动启动的服务:
DNS clinent仅当DNS启动时需要
Runas service仅当需要runas命令时起用
IIS admin service微软web服务需要
Logical disk manager administrative service磁盘管理需要
NT LM security support provider微软web服务需要
Word wide web publishing service微软web服务需要
5. 配置帐户策略:右键点我的电脑,选择“管理”在管理工具中打开本地安全策略调整密码策略和帐户锁定策略,设置如图:
6. 帐户管理注意事项:(1)帐号尽可能少且尽可能少用来登陆,网站帐好一般用来做系统维护的,多余的帐号一个也不要。(2)除administrator外,有必要再增加一个属于管理员组的帐号,,一方面防止管理员一旦忘记密码,还可以用另外一个帐号,一方面发现被攻破一个帐号还可以用另外一个帐号。(3)所有帐号权限需要严格控制,轻易不给管理权限。(4)将administrator重命名,改成一个不容易被猜到的,防止黑客对帐号密码的猜测行为。(5)将guest帐号禁止,同时重命名一个复杂的名字,并增加口令,防止被黑客提升权限。(6)给所有用户帐号一个复杂的口令,且必须同时包含数字、字母和特殊字符。长度最少8位以上。(7)在帐号属性中设立锁定次数,可以防止某些大规模的登录尝试。
7. 配置日志审核:微软默认的日志审核是关闭的,必须手动启动。打开“管理工具”“本地安全策略”“本地策略”“审核策略”和“管理工具”“事件查看器”设置如下:
审核策略更改——成功、失败
审核登录事件——成功、失败
审核对象访问——失败
审核目录服务访问——失败
审核特权使用——审核系统事件——成功、失败
审核帐户登录事件——成功、失败
审核帐户管理——成功、失败
8. 禁用NETBIOS接口:NETBIOS接口用来在两台或两台以上运行NETBIOS应用程序的计算机之间解吸名字,建立连接和支持可靠数据传输。他是为了兼容以前通用的CIFS/SMB协议。该协议会导致计算机信息泄露以致于建立空会话漏洞。可以在网络连接的属性中禁止“microsoft网络文件和打印机共享”。
选中图中的internet协议(TCP/IP)然后选“属性”“高级”然后选中“禁用TCP/IP上的NETBIOS”。
9. 保护系统帐号数据库:直接在开始运行中输入syskey指令,在出现的框中选择“起用加密”然后再选“更新”,然后出现选择项,你可以选择“密码启动”也可以选择“系统自动产生密码”。为防止原来的密码泄露,还要从WINNT/REPAIR目录中删除SAM文件。
10. 设置特权和权利:win 2000提供对用户权利设定的安全机制,使用他可以设置任意指定用户在操作系统拥有的可操作范围。我们可以在“控制面板”“管理工具”“本地安全策略”中对应用户权利指派的部分设置列表。具体设置大家一看就知道
11. 使用win2000的文件加密功能:直接在文件或文件夹上单击右键弹出属性对话框,在“常规”上选择“高级”,选择“加密内容以保护数据”。确定后退出。在最后确定时如果是应用在文件夹上,系统会提示是否包括文件夹中全部文件,推荐包括整个文件夹。注意,win2000文件加密并不能防止文件被相应权限的用户删除,为了资料数据的安全,建议还是经常备份。
12. 不记录系统失败的调试信息:系统失败的调试信息存储在内存转储文件中,当系统崩溃时可以为除错提供信息,不过转储文件的存在还会泄露其他的信息,列如应用程序的密码。在“我的电脑”点右键,弹出“属性”选项,在“高级”页选中“启动和故障恢复”,在“写入调试信息”中选“无”。
13. 配置TCP/IP筛选:win2000提供了一定的网络流量过滤功能来保障TCP/IP的安全,但需要手动设置。点网络连接的图标,选择“网络与拔号连接”,在常规中选择“internet协议(TCP/IP),然后点“属性”“高级”“选项”。点“TCP/筛选IP”“属性”,然后设置。选择“起用TCP/IP筛选(所有适陪器)”全部选择“只允许”,TCP端口添加80端口。
14. 禁止从光盘和软盘自动启动:主要是为了防止恶意用户里哟内微软的光盘自动启动执行非法文件和恶意访问系统,可以从BIOS设置中禁止光盘和软盘自动启动,并设置BIOS密码防止恶意修改。
15. 使用一个有密码的屏保:启动有密码的屏幕保护程序,防止管理员暂时离开时非法的物理访问,怎么设置我就不用多说了,相信都知道。
16. IE浏览器安全:取消浏览器自动完成功能,在“控制棉板”的“internet选项”的“内容”页,选择“自动完成”,取消表单和表单上的拥护名和密码部分,并清除下面的历史记录;同上,在“internet选项”上的“高级”页,选择“不将加密的也面存入硬盘”以及“关闭浏览器时清空internet文件夹”;在对应的目录中经常性的清除历史记录等。
17. Outlook Express安全:防止病毒调用运行.VBS,.JS等脚本文件,在运行分别运行以下两个命令:“regsvr32 /u wshom.ocx”和“regsvr32 /u wshext.dll”。恢复操作是把/U去除。
18. 删除所有网络资源共享:控制面板—计算机管理—共享文件夹—停止共享,然后把里面的所有默认共享全部停止,不过IPC共享服务器每启动依次都会打开,需要重新停止。
19. 系统启动时的等待时间设置为0秒:控制面板—系统---启动/关闭,将列表显示的默认值为30改为0或者在boot.ini里将TIMEOUT的值改为0。
20. 只开放必要端口:除必要端口外,关闭其他的端口,特别是139、445更危险端口,缺省下所有端口都是开放的。
21. 只保留TCP/IP协议:删除NETBEUI、IPX/SPX协议,只保留TCP/IP协议,网站需要的通讯协议只有TCP/IP协议,其他的协议没任何用处,放在网站上反而会被某些黑客工具利用。
22. 防火墙和杀毒软件要经常开着,作为网管的安全人员要经常浏览一些安全站点,关注最新漏洞,及时更新最新的补丁。
相关内容: 最新内容:
Windows XP操作系统的八大安全策略[2015-02-26]
手动设置安全策略 保证Windows 2008系统安全[2015-02-26]
系统安全之Windows启动安全隐患详解[2015-02-26]
利用Varnish实现图片防盗链[2015-02-26]
危害企业IT系统最严重的五个安全威胁[2015-02-25]
IP网络安全的基石——IPSec协议(1)[2015-02-25]